ویڈیو: آیت الکرسی Ú©ÛŒ ایسی تلاوت آپ Ù†Û’ شاید Ù¾ÛÙ„Û’@ کبهی Ù†Û Ø³Ù†ÛŒ هوU (اکتوبر 2024)
سان فرانسسکو۔ محققین گوگل کے دو عنصر کی توثیق کو نظرانداز کرنے اور صارف کے جی میل اکاؤنٹ پر مکمل کنٹرول حاصل کرنے کے لئے درخواست سے متعلق مخصوص پاس ورڈ استعمال کرسکتے ہیں۔
2013 کی آر ایس اے سیکیورٹی کانفرنس کل صبح سحر سے شروع ہو رہی ہے ، لیکن کانفرنس کے بہت سے شرکاء کلاؤڈ سیکیورٹی الائنس سمٹ اور ٹرسٹڈ کمپیوٹنگ گروپ پینل میں بات چیت کرنے کے لئے سان فرانسسکو کے ماسکوون سنٹر میں پہلے ہی گھس رہے تھے۔ دوسروں نے دوسرے شرکاء کے ساتھ سیکیورٹی سے متعلق موضوعات کی وسیع درجہ بندی پر بات چیت کی۔ ڈو سیکیورٹی کی طرف سے آج صبح کی اس پوسٹ پر جس طرح محققین نے گوگل کی دو فیکٹر تصدیق کو نظرانداز کرنے کا راستہ تلاش کیا اس صبح یہ ایک عام موضوع تھا۔
گوگل صارفین کو مضبوط سیکیورٹی کے لئے اپنے جی میل اکاؤنٹ پر دو عنصر کی توثیق کرنے کی اجازت دیتا ہے اور ایسے ایپلیکیشنز کے لئے خصوصی رسائی والے ٹوکن تیار کرتا ہے جو دو قدمی توثیق کی حمایت نہیں کرتے ہیں۔ جوڑی سیکیورٹی کے پرنسپل سیکیورٹی انجینئر ایڈم گڈمین نے لکھا ، جوڑی سیکیورٹی کے محققین نے دو عنصر کے عمل کو مکمل طور پر روکنے کے لئے ان خصوصی ٹوکن کو غلط استعمال کرنے کا ایک طریقہ تلاش کیا۔ گڈمین نے لکھا ، دونوں کی سیکیورٹی نے گوگل کو ان مسائل سے آگاہ کیا ، اور کمپنی نے "خطرات میں سے سب سے سنگین خطرات کو کم کرنے کے لئے کچھ تبدیلیاں لاگو کی ہیں۔"
گڈمین نے لکھا ، "ہمارے خیال میں اگر کسی صارف کے پاس 'پاس ورڈ' کی کچھ شکل موجود ہے جو اپنے اکاؤنٹ کا مکمل کنٹرول سنبھالنے کے لئے کافی ہے تو ، یہ ایک مضبوط توثیقی نظام میں ایک بہت اہم سوراخ ہے۔
تاہم ، انہوں نے یہ بھی کہا کہ دو فیکٹر کی توثیق ، یہاں تک کہ اس خامی کے باوجود ، صرف عام صارف نام / پاس ورڈ کے امتزاج پر انحصار کرنے سے "غیر واضح" بہتر تھا۔
اے ایس پیز کے ساتھ معاملہ
دو عنصر کی توثیق صارف کے اکاؤنٹس کو محفوظ کرنے کا ایک اچھا طریقہ ہے ، کیوں کہ اس کے لئے آپ کو کچھ معلوم ہوتا ہے (پاس ورڈ) اور آپ کے پاس کچھ ہے (خصوصی کوڈ حاصل کرنے کے لئے ایک موبائل ڈیوائس)۔ وہ صارفین جنہوں نے اپنے گوگل اکاؤنٹس پر دو فیکٹر آن کر رکھے ہیں ، ان کو اپنے عام لاگ ان کی اسناد داخل کرنے کی ضرورت ہے ، اور پھر اپنے موبائل آلہ پر خصوصی ون استعمال کے پاس ورڈ کو ڈسپلے کرنا ہوگا۔ خصوصی پاس ورڈ موبائل آلہ پر کسی ایپ کے ذریعہ تیار کیا جاسکتا ہے یا ایس ایم ایس میسج کے ذریعہ بھیجا جاسکتا ہے ، اور یہ آلہ سے مخصوص ہے۔ اس کا مطلب یہ ہے کہ صارف کو ہر بار لاگ ان ہونے پر ایک نیا کوڈ بنانے کی فکر کرنے کی ضرورت نہیں ہے ، لیکن ہر بار جب وہ کسی نئے آلے سے لاگ ان ہوتا ہے۔ تاہم ، اضافی سیکیورٹی کے لئے ، توثیقی کوڈ ہر 30 دن میں ختم ہوجاتا ہے۔
گڈمین نے نوٹ کیا ، لیکن گوگل کو "کچھ سمجھوتہ" کرنا پڑا ، جیسے درخواست سے متعلق پاس ورڈز ، تاکہ صارف اب بھی ایسے ایپلی کیشنز کا استعمال کرسکیں جو دو قدمی توثیق کی حمایت نہیں کرتی ہیں۔ اے ایس پیز ہر درخواست (جس کا نام) کے ل generated تیار کردہ خصوصی ٹوکن ہیں جن کو پاس ورڈ / ٹوکن مرکب کی جگہ پر صارفین داخل کرتے ہیں۔ موزیلا تھنڈر برڈ ، چیٹ کلائنٹس جیسے پڈگین ، اور کیلنڈر ایپلی کیشنز جیسے ای میل کلائنٹس کے لئے صارفین اے ایس پیز کا استعمال کرسکتے ہیں۔ پرانے Android ورژن بھی دو قدم کی حمایت نہیں کرتے ہیں ، لہذا صارفین کو بوڑھے فونز اور ٹیبلٹس میں سائن ان کرنے کیلئے ASPs کا استعمال کرنا پڑتا ہے۔ اس درخواست کے اے ایس پی کو غیر فعال کرکے صارف اپنے گوگل اکاؤنٹ تک رسائی منسوخ کرسکتے ہیں۔
جوڑی سیکیورٹی نے دریافت کیا کہ اے ایس پیز حقیقت میں اطلاق سے متعلق مخصوص نہیں تھے ، اور کیلڈیف کا استعمال کرتے ہوئے آئی ایم اے پی پروٹوکول یا کیلنڈر ایونٹس پر صرف ای میل پر قبضہ کرنے سے زیادہ کام کرسکتے ہیں۔ در حقیقت ، حالیہ لوڈ ، اتارنا Android اور کروم OS ورژن میں پیش کی جانے والی نئی "آٹو لاگ ان" خصوصیت کی بدولت گوگل کے تقریبا کسی بھی ویب پراپرٹیز میں لاگ ان کرنے کے لئے ایک کوڈ استعمال کیا جاسکتا ہے۔ خودکار طور پر لاگ ان کرنے والے صارفین کو اپنے موبائل اکاؤنٹس یا Chromebook کو اپنے Google اکاؤنٹس سے لنک کرتے ہوئے ویب پر گوگل سے وابستہ تمام صفحات کو خود بخود کسی اور لاگ ان صفحے کو نہ دیکھے جانے کی اجازت دیتا ہے۔
اس اے ایس پی کے ذریعہ ، کوئی سیدھے "اکاؤنٹ کی بازیابی کے صفحے" پر جاسکتا ہے اور ای میل پتوں اور فون نمبروں میں ترمیم کرسکتا ہے جہاں پاس ورڈ دوبارہ ترتیب دینے والے پیغامات بھیجے جاتے ہیں۔
گڈمین نے کہا ، "ہمارے لئے یہ سمجھنے کے لئے کافی تھا کہ اے ایس پیز نے حیرت انگیز طور پر شدید حفاظتی خطرات پیش کیے۔"
جوڑی سیکیورٹی نے Android سرور سے Google سرورز کو بھیجی گئی درخواستوں کا تجزیہ کرکے ASP روک لیا۔ اگرچہ ASPs کو روکنے کے لئے فشینگ اسکیم میں کامیابی کی کم شرح ہوگی ، تاہم ، جوڑی سیکیورٹی نے قیاس آرائی کی ہے کہ میلویئر کو آلہ میں موجود ASPs کو نکالنے کے لئے تیار کیا جاسکتا ہے یا اے ایس پیز کو دستی طور پر روکنے کے لئے ایس ایس ایل کی ناقص تصدیق نامے کا فائدہ اٹھایا جاسکتا ہے۔ درمیانی حملہ
گڈمین نے لکھا ، "جب گوگل کی اصلاحات سے پائے جانے والے مسائل کی نشاندہی ہوتی ہے ،" ہم انفرادی اے ایس پیز کے مراعات کو مزید پابندی کے لrict گوگل کو کچھ وسائل پر عمل درآمد دیکھنا پسند کریں گے۔
ہماری RSA کوریج سے تمام پوسٹس دیکھنے کے لئے ، ہمارے شو رپورٹس پیج کو چیک کریں۔
